Een beveiligingsfout in Android OS maakt het voor malafide apps mogelijk om de smartphonecamera van een gebruiker te kapen en foto's te maken, video en audio op te nemen en die bestanden naar een externe server te uploaden - allemaal zonder medeweten van de gebruikers, zelfs als de telefoon is vergrendeld.!
Cybersecuritybedrijf Checkmarx ontdekte deze tekortkomingen in juli, maar de bevindingen werden gisteren gepubliceerd. Hoewel Google en Samsung deze Android-fout in hun apparaten hebben gepatcht, zijn andere smartphones die Android OS gebruiken er nog steeds kwetsbaar voor.
Het is dus heel goed mogelijk dat honderden miljoenen smartphonegebruikers vatbaar zijn geweest voor misbruik. Checkmarx heeft de bugs in CVE-2019-2234 onthuld, die voortkomen uit problemen met het omzeilen van toestemming.
Hoe werkt de Android-fout??
Google is streng als het gaat om het verlenen van machtigingen aan mobiele apps voor toegang tot de camera, microfoon of locatieservices. Daarom moeten gebruikers toestemmingsverzoeken accepteren, maar in dit geval kon Checkmarx het omzeilen.
De camera-app op Android slaat afbeeldingen en video's meestal op een SD-kaart op, en daarom hebben apps opslagrechten nodig.
Opslagmachtigingen zijn echter erg breed en deze machtigingen geven toegang tot de volledige SD-kaart. Als in het aanvalsscenario van Checkmarx een kwaadwillende app toegang krijgt tot de SD-kaart, heeft deze niet alleen toegang tot eerdere foto's en video's, maar kan deze de foto-app ook dwingen nieuwe afbeeldingen en video's te maken..
Wat het nog erger maakt, is dat GPS-metadata vaak in afbeeldingen is ingesloten, dus een aanvaller kan deze gegevens in feite parseren om ook de locatie van een gebruiker te volgen. Bovendien konden de onderzoekers tijdens het gesprek de stem van de beller en de ontvanger opnemen.
Houd uw Android-apparaten up-to-date
Checkmarx heeft dit kwetsbaarheidsrapport in juli bij Google ingediend bij het Android-beveiligingsteam. In augustus namen zowel Google als Checkmarx contact op met verschillende smartphonemakers over de kwetsbaarheid en Samsung bevestigde dat het getroffen was.
Nu heeft Google hetzelfde ook bevestigd en een patch voor deze camerafout uitgebracht aan Android-partners. We hebben geen exact aantal apparaten die door dit probleem zijn getroffen, en of ze de patch al hebben ontvangen - en dit aantal kan in miljoenen dalen.
Maar we weten wel dat Google en Samsung deze fout hebben verholpen, en alle Android-gebruikers zouden beveiligingsupdates moeten installeren zodra ze deze hebben ontvangen.
Lees ook: NextCry Ransomware versleutelt bestanden op NextCloud Linux-servers